OVPN, welchen Servermodus, LE-Zertifikate in OpenVPN
-
ich teste das gerade mal durch und werde berichten.
Habe den OVPN jetzt einfach mal testweise eingerichtet. Was mir nicht ganz klar ist. Unter IPFire habe ich dann anschließend die Benutzer angelegt und dort wurde mir ein Client-ZIP für jeden User angeboten das ich heruntergeladen habe und am Client importiert habe.
Wie läuft das unter PFSense/OVPN?
-
Habe den OVPN nun wie folgt eingerichtet:
und die Kommunikation WAN -> Firewall selbst auf 1194 UDP erlaubt.
Wie binde ich jetzt einen Client an?
-
Servermodus "Peer to Peer" ist, soweit ich weiss, für Site to site Verbindungen. "Remote Access" wäre richtig.
Du brauchst jetzt noch ein Zertifikat für den Clienten bzw. User. Könntest eins erstellen, wenn du die CA von letsencrypt hast.
Nimm den Wizard, erstelle eigene CA und Certs, das looft dann ootb, normalerweise. :)
Schon gelesen?
-
werde ich testen und lesen :-)
-
Ok, mit Fernzugriff - UserAuth, einer CA für die PFSense und den Zertifikaten ... Benutzern ... funktioniert es ohne großes Zutun. Komme über VPN auf das gesamte Netz. Werde mir jetzt noch anschauen ob ich die Benutzerdatenbank vom lokalen Anmelde-Server (LDAP) anzapfen kann. Dazu mache ich ggf. einen neuen Beitrag auf da es ja ein neues Thema ist.
Vielen Dank!
-
Schön, dass es klappt.
Mike
-
@pixel24 said in OVPN, welchen Servermodus, LE-Zertifikate in OpenVPN:
ob ich die Benutzerdatenbank vom lokalen Anmelde-Server (LDAP) anzapfen kann
kann man. Oder man lagert die Benutzer aufs FreeRadius Package aus womit man nochmal ein paar Möglichkeiten mehr hat. Aber AD/LDAP wenn schon vorhanden lohnt natürlich wenn man das mitnutzen möchte. Dann sollte man allerdings auf eine extra VPN User Gruppe filtern, damit man die Möglichkeit hat zu separieren.
-
@JeGr said in OVPN, welchen Servermodus, LE-Zertifikate in OpenVPN:
kann man. Oder man lagert die Benutzer aufs FreeRadius Package aus womit man nochmal ein paar Möglichkeiten mehr hat. Aber AD/LDAP wenn schon vorhanden lohnt natürlich wenn man das mitnutzen möchte. Dann sollte man allerdings auf eine extra VPN User Gruppe filtern, damit man die Möglichkeit hat zu separieren.
Ja, der Zentrale Anmelde-Server ist ein UCS-Master. Dieser bietet sowohl LDAP/AD als auch Radius an. Allerdings habe ich mit der Anbindung von "Fremdsystemen" an beide Dienste noch keine Erfahrung. Da versuche ich mir gerade einen Überblick zu verschaffen.
Was die Gruppe an geht. So wäre der Plan gewesen. Ich erstelle auf dem Hauptserver eine Gruppe für VPN und in PFSense / OVPN werden nur diese angezeigt ... ob das mit beiden Diensten funktioniert kann ich nicht einschätzen.
-
@pixel24 said in OVPN, welchen Servermodus, LE-Zertifikate in OpenVPN:
Ich erstelle auf dem Hauptserver eine Gruppe für VPN und in PFSense / OVPN werden nur diese angezeigt ... ob das mit beiden Diensten funktioniert kann ich nicht einschätzen.
Nope, da wird gar nichts angezeigt ;) Du willst die Benutzer ja nichts ins System importieren damit die sich in pfSense einloggen können, sondern die sollen nur beim Login via VPN benutzt werden. Das läuft anders. Einfach als Auth Methode neu anlegen (System / User Manager / Authentication Servers). Hier wird dann der LDAP Zugang konfiguriert, damit die pfSense im LDAP suchen kann. Da wird auch u.a. der Auth Container bzw. mittels extended query dann die Abfrage auf "User in Gruppe X" gemacht. Wichtig ist nur ob dein UCS Master via LDAP (389) oder nur per LDAPs erreichbar ist. Bei LDAPS muss auch das Zertifikat vom LDAP Server importiert werden sofern nicht die CA eh schon importiert ist.
Unter Diagnostics / Authentication kann dann getestet werden ob es geht. -
Danke, werde ich am WE testen.
